Encontrar el origen de la dirección IP del atacante de malware detrás de VPN y proxies

Navega tus respuestas
0

Tengo un cliente que quiere que empiece a investigar para encontrar el origen de un atacante persistente en su red y sus empleados. No he obtenido los detalles todavía, pero estoy tratando de pensar en formas y qué herramientas usaría para encontrar el origen de un ataque. Sé de las herramientas de minería de datos que debo usar, pero serían inútiles hasta que pueda identificar dónde se encuentra este atacante. ¿Cuál es la mejor práctica (usar la caja de herramientas de Kali Linux) que ayudaría a determinar el punto final?

Gracias!

    
pregunta MF SPOOF 17.09.2014 - 00:33
fuente

2 respuestas

1

Si el atacante tiene alguna experiencia, no la encontrarás.

TOR es un proxy de anonimato, diseñado para que los clientes no puedan ser rastreados. Se requiere un gran esfuerzo para rastrear a una persona cuando está usando métodos proxy o VPN muy simples. Si están usando algo como TOR, entonces puede olvidarse de poder encontrarlos.

Si la fuente de un ataque pertenece a un rango de IP de cliente asignado de un ISP, como los emitidos a clientes de banda ancha, entonces existe la posibilidad de que la IP que está atacando su sistema en realidad sea la El cliente asignó esa dirección IP. Por supuesto, si hay alguna máquina en esa dirección IP que simplemente sea proxy del ataque desde otro lugar (malware como RAT s puede proporcionar este servicio), entonces su búsqueda es mucho más difícil.

    
respondido por el StampyCode 18.03.2015 - 18:44
fuente
1

Como dice Stampycode, si el atacante ha usado prácticamente cualquier técnica para evitar ser rastreado directamente, tendrás dificultades para rastrearlo directamente.

Dependiendo de su cometido y de las leyes de donde se encuentre, puede usar técnicas activas para intentar rastrearlas.

Si, por ejemplo, intentan acceder a documentos corporativos, sería posible colocar documentos "honeypot" en la red que contengan balizas o un exploit (que son muchos para PDF, documentos de Word y documentos de Excel) . Esto podría permitirle ver su IP real (si abren el documento fuera de la VPN / Tor) o incluso obtener el control de su máquina. De nuevo, un atacante sensato ejecutará esto en una máquina virtual.

Hay, por supuesto, otras técnicas activas, aunque dependen en gran medida de que el atacante se vuelva codicioso o perezoso.

    
respondido por el Cybergibbons 18.03.2015 - 19:29
fuente

Lea otras preguntas en las etiquetas

Iniciar sesión de forma segura sin enviar una prueba simple al servidor ¿Puede alguien con acceso a la clave privada de la CA raíz descifrar el tráfico HTTPS?